パソコン/インターネット Relationship

AppleブラウザSafari」でオートフィル機能を有効にしている場合、ユーザーの意図に関わりなく個人情報が漏れるおそれがあると、米国時間7月21日にセキュリティ研究者が報告した。この問題はSafariだけに影響するのか、それともGoogleの「Chrome」を含むすべてのWebKitベースのブラウザに影響するのかは分かっていない。SafariおよびChromeユーザーは、さらなる情報が明らかになるまで、ただちにオートフィル機能を無効にすることが推奨される。

 WhiteHat Securityの最高技術責任者(CTO)であるJeremiah Grossman氏は、21日付けのブログ記事でエクスプロイトを実証し、現行の「Safari 5」および以前の「Safari 4」の両方が影響を受けると書いている。この脆弱性はかなり深刻なもので、ユーザーが悪意あるウェブサイトを訪れたとき、サイト上で個人情報を何も入力しなくても、またこれまでに訪れたことのないサイトであっても、Safariからオートフィル情報へのアクセスを許してしまう、と同氏は述べた。

 悪意あるウェブサイトが住所など必要に応じた名前で動的フォームのテキストフィールドを作成し、JavaScriptを使ってAからZのキー入力を模倣するだけで、データが自動的に取り込まれることになる、とGrossman氏はブログで説明した。これは、たとえテキストフィールドがサイト訪問者から見えないように隠されていたとしても機能する、と同氏は述べている。さらに同氏は、セキュリティ研究者にとっての「最適な行動」とされる手順に従って、Appleに対し6月17日に同セキュリティの脆弱性を通知したが、自動的に返ってくるメッセージを受け取っただけであることも明らかにした。

 しかし、この問題は新しいものでない可能性もある。2009年4月のブログ記事でスイスのセキュリティ研究者Patrice Neff氏が、これと非常によく似た脆弱性について明らかにしている。これはSafariユーザーの同意なしに誕生日を漏らしてしまうというもので、多くの人が気づいていなかった。Neff氏は、Safariブラウザから情報を収集できるスクリプトを記述してみせた。現時点では、これらの問題が同一のものか、結果が似ているだけなのかは不明だ。

 オートフィル機能脆弱性に関して、Appleの声明は具体的なことを伝えていない。「われわれはセキュリティおよびプライバシを非常に重要視している。問題は認識しており、修正に取り組んでいる」とAppleは述べている。

 Googleはこの問題についてコメントしなかったが、Chromeの場合はテキストフィールドに情報を入れるのにユーザーの確認が必要で、これをJavaScriptで模倣することはできないため、同様のオートフィル機能脆弱性はないとしている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

 

素直なuriは、chromeを使っているのでとりあえずOFFにしましたねっと (・ω・) safariはほとんど使いませんnidaが、念のためOFF


「Safari」의 오토필 기능에 개인정보 누설의 우려--시큐러티 연구자가 경고

Apple브라우저 Safari」로오토필 기능을 유효하게 하고 있는 경우,유저의 의도에 관련되어 없게개인정보가 샐 우려가 있으면, 미국 시간7월 21일에 시큐러티 연구자가 보고했다.이 문제는Safari인 만큼 영향을 주는지, 그렇지 않으면 Google의 「Chrome」를 포함한 모든 WebKit 베이스의브라우저에 영향을 주는지는 모르는다.SafariChrome유저는, 새로운 정보가 밝혀질 때까지, 즉시오토필 기능을 무효로 하는 것이 추천 된다.

 WhiteHat Security의 최고 기술 책임자(CTO)인Jeremiah Grossman씨는, 21 날짜의 브로그 기사로엑스프로 실을 실증해, 현행의 「Safari 5」 및 이전의 「Safari 4」의 양쪽 모두가 영향을 받는다고 쓰고 있다.이취약성은 꽤 심각한 것으로,유저가 악의 있는 웹 사이트를 방문했을 때, 사이트상에서개인정보를 아무것도 입력하지 않아도, 또 지금까지 방문한 적이 없는 사이트에서 만나도,Safari로부터 오토필 정보에의 액세스를 허락해 버린다, 라고 동씨는 말했다.

 악의 있는 웹 사이트가 주소 등 필요하게 응한 이름으로 동적 폼의텍스트 필드를 작성해,JavaScript를 사용해 A로부터 Z의 키 입력을 모방하는 것만으로, 데이터가 자동적으로 받아들여지게 된다, 라고 Grossman씨는 브로그로 설명했다.이것은, 비록텍스트 필드가 사이트 방문자로부터 안보이게 숨겨져 있었다고 해도 기능한다, 라고 동씨는 말하고 있다.한층 더 동씨는, 시큐러티 연구자에게 있어서의 「최적인 행동」이라고 여겨지는 순서에 따라서,Apple에 대해 6월 17일에 동시큐러티의취약성을 통지했지만, 자동적으로 되돌아 오는 메세지를 받아들인 것만으로 있는 일도 분명히 했다.

 그러나, 이 문제는 새로운 것으로 않을 가능성도 있다.2009년 4월의 브로그 기사로 스위스의 시큐러티 연구자 Patrice Neff씨가,이것과 매우 잘 닮은 취약성에 대해 분명히 하고 있다.이것은Safari유저의 동의없이 생일을 흘려 버린다고 하는 것으로, 많은 사람이 눈치채지 않았었다.Neff씨는,Safari브라우저로부터 정보를 수집할 수 있는 스크립트를 기술해 보였다.현시점에서는, 이러한 문제가 동일한 것인가, 결과가 비슷할 뿐(만큼)인가는 불명하다.

 오토필 기능취약성에 관해서,Apple의 성명은 구체적인 일을 전하지 않았다.「우리는 시큐러티 및프라이버시를 매우 중요시하고 있다.문제는 인식하고 있어, 수정에 임하고 있다」라고Apple는 말하고 있다.

 Google는 이 문제에 대해 코멘트하지 않았지만,Chrome의 경우는텍스트 필드에 정보를 넣는데유저의 확인이 필요하고, 이것을JavaScript로 모방할 수 없기 때문에, 같은오토필 기능취약성은 없다고 하고 있다.

이 기사는 해외 CBS Interactive발의기사를 아사히 인터랙티브가 일본 전용으로 편집한 것입니다.

 

솔직한 uri는, chrome를 사용하고 있으므로 우선 OFF로 했어요 와 (·ω·) safari는 거의 사용하지 않습니다 nida가, 만약을 위해 OFF



TOTAL: 3178

番号 タイトル ライター 参照 推薦
2078 ( ‘Θ‘)ψ米著作権庁、合法利用の....... ponpon555 2010-07-27 5238 0
2077 ( ‘Θ‘)ψシャープ、電子書籍端末....... ponpon555 2010-07-25 5395 0
2076 スマートフォンの見分け方 crash 2010-07-25 2888 0
2075 ここに速度がとても遅い. tptpdltus 2010-07-23 2920 0
2074 「Safari」のオートフィル機能に個人....... angpongtang 2010-07-23 2614 0
2073 Facebook、ユーザー数が世界で5億人に....... angpongtang 2010-07-22 2552 0
2072 朝鮮を心の底から憎悪し、劣等半島....... hwajaeuicha 2010-07-20 2597 0
2071 携帯から簡単画像UP gbleez 2010-10-27 3322 0
2070 ( ‘Θ‘)ψ i3こうた ponpon555 2010-07-18 4489 0
2069 iPhoneアプリ「朗読少女」 32x 2010-07-14 2874 0
2068 gokorea KJパソコン板移住計画 yajisei 2010-07-14 2713 0
2067 iphone4を予約したが? jpnjpn11 2010-07-13 2677 0
2066 ( ‘Θ‘)ψ マザボこれでどうよ ponpon555 2010-07-13 4566 0
2065 サムスン携帯爆発事故の続報 kouaisshin 2010-07-12 4241 0
2064 ( ‘Θ‘)ψ PC組み立てるの ponpon555 2010-07-07 6955 0
2063 ( ‘Θ‘)ψ ドコモ、SIMロック解除....... ponpon555 2010-07-06 4246 0
2062 あなたも一子供を後援することがで....... px1001 2010-07-06 4321 0
2061 (  -_-)/エロい人教えて!!! MERO 2010-07-05 2943 0
2060 ( ‘Θ‘)ψ KDDIがアメリカでHTC発....... ponpon555 2010-07-05 2858 0
2059 IPhone4を予約した。 jpnjpn11 2010-07-04 4432 0